Règlement relatif à la protection de la vie privée lors du traitement des données à caractère personnel des patients au sein de l'Hôpital Erasme

Vous trouverez ici toutes les informations relatives à la protection de la vie privée lors du traitement des données à caractère personnel des patients au sein de notre hôpital

I.    PRÉAMBULE

Les Cliniques universitaires de Bruxelles – Hôpital Erasme (ci-après « l’Hôpital ») ont la volonté de vous assurer, en tant que patient, indépendamment de vos revenus, de votre condition d’assurabilité, de vos origines et convictions philosophiques, le meilleur accueil, une prise en charge médicale et paramédicale optimale ainsi qu’une aide adéquate sur le plan social et administratif.

Le respect du secret médical et la protection de toute donnée à caractère personnel vous concernant – médicale ou non – recueillie à l’occasion d’une consultation ou d’une hospitalisation au sein de l’Hôpital sont des fondements importants de la confiance que vous nous accordez.

II.    OBJET DU RÈGLEMENT

Le présent règlement fournit les informations requises quant à la manière dont l’Hôpital, agissant en sa qualité de « Responsable du traitement », traite les données à caractère personnel qu’il collecte auprès de ses patients (en ce compris les donneurs), c’est-à-dire les personnes qui subissent une analyse médicale, qui sont hospitalisées ou qui consultent en ambulatoire et à qui des prestations médicales, infirmières ou paramédicales sont dispensées (ci-après « le Patient »).

Ces données à caractère personnel sont traitées par l’Hôpital dans la mesure nécessaire à la prise en charge du Patient et à sa relation juridique avec lui, sur la base :

1.    des obligations légales lui incombant ; 

2.    de l’exécution du contrat qu’il a avec lui ;

3.    de ses intérêts légitimes.  Les finalités identifiées dans ce cadre sont : 

a.    La recherche de donneurs ;
b.    L’enseignement de la médecine ou des sciences infirmières et paramédicales ;
c.    La gestion des événements indésirables ;
d.    Garantir la sécurité des personnes ou des biens ;
e.    L’enregistrement de données des patients qui ont un caractère épidémiologique et/ou scientifique et/ou d’outil de gestion, en vue de répondre aux objectifs de recherche et de gestion.

Les données personnelles du Patient sont traitées dans le strict respect du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données : Règlement général sur la protection des données (ci-après « le RGPD ») ainsi que du point III, 9°quater de l’annexe à l’A.R. du 23 octobre 1964 portant fixation des normes auxquelles les hôpitaux et leurs services doivent répondre. 

Le présent règlement entend préciser les modalités de collecte, d’enregistrement, de conservation, de rectification, d’effacement, d’accès et de diffusion des données à caractère personnel relatives aux patients, dont les données administratives et médicales.

Les mesures organisationnelles et techniques nécessaires sont mises en place pour assurer la sécurité de ces données.  De plus, par principe, les données à caractère personnel ne sont pas conservées plus longtemps que nécessaire pour la finalité du traitement [au sens du RGPD]. 

III.    DÉFINITIONS

-    Donnée à caractère personnel

Toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

-    Donnée médicale à caractère personnel

Toute donnée à caractère personnel dont on peut déduire une information sur l’état antérieur, actuel ou futur de la santé physique ou psychique, à l’exception des données purement administratives ou comptables relatives aux traitements ou aux soins médicaux.

-    Traitement [au sens du RGPD]

Toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

-    Fichier

Tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.

-    Responsable du traitement 

La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement [au sens du RGPD].  

-    Responsables internes du traitement

Personnes à qui sont confiées, au sein de l’Hôpital, l’organisation et la mise en œuvre du traitement [au sens du RGPD].

-    Donneur

Toute personne qui fait don d’un ou de plusieurs organes, que le don ait lieu de son vivant ou après sa mort.

-    Médecin-Directeur

Médecin-chef au sens de la loi sur les hôpitaux, coordonnée le 10 juillet 2008.

-    Conseiller en sécurité de l’information

Expert qui conseille les différents acteurs au sein de l’Hôpital au sujet de tous les aspects de la sécurité de l’information.

Il invite à prendre toutes les mesures préventives destinées à éviter l’accès non autorisé à des clés d’accès ou à des fichiers de données personnalisées.

Il propose l’adaptation éventuelle des modalités de sécurité des fichiers pour en garantir la confidentialité, l’intégrité et l’accessibilité réservée aux personnes autorisées.

-    Délégué à la protection des données

Expert qui informe les composantes de l’Hôpital sur les obligations qui leur incombent en vertu du RGPD et d’autres dispositions applicables et les conseille pour améliorer la protection des données. 
 
Il contrôle le respect du RGPD et des autres dispositions applicables ainsi que des règles internes de l’Hôpital en matière de protection des données à caractère personnel.
 
Il dispense des conseils, sur demande, en ce qui concerne les analyses d’impact relatives à la protection des données et vérifie l’exécution de celles-ci. 
 
Il coopère avec l’Autorité de protection des données et est le point de contact avec cette dernière.  
 
Il supervise le registre des activités de traitement [au sens du RGPD] de données à caractère personnel dont l’Hôpital est formellement responsable.  
 
Il veille aux droits des personnes physiques dont les données sont traitées, en les informant notamment de manière concise, transparente et intelligible de tout traitement [au sens du RGPD] de leurs données à caractère personnel. 

-    Comité d’éthique : Comité d’éthique hospitalo-facultaire Erasme-ULB, établi conformément à l’arrêté royal du 23 octobre 1964 fixant les normes auxquelles les hôpitaux et leurs services doivent répondre.

IV.    RESPONSABLE DU TRAITEMENT

Le Responsable du traitement [au sens du RGPD] est les Cliniques universitaires de Bruxelles – Hôpital Erasme, dont le siège est établi à 1070 Bruxelles, route de Lennik 808, ici représentées par leur Administrateur délégué.

V.    FINALITÉS DES TRAITEMENTS [au sens du RGPD] ET BASE LÉGALE

§1 Le traitement [au sens du RGPD] des données à caractère personnel  au sein de l’Hôpital, et plus particulièrement des données médicales relatives au Patient, est prévu dans le cadre :

•    de la loi relative aux hôpitaux et autres établissements de soins, coordonnée le 10 juillet 2008
•    de la loi relative à l’assurance obligatoire soins de santé et indemnités coordonnée le 14/07/1994 et ses arrêtés d’exécution
•    de l’A.R. du 06/12/1994 déterminant les règles suivant lesquelles certaines données doivent être communiquées au SPF Santé publique et l’A.R. du 25/02/1996 fixant les règles suivant lesquelles certaines données statistiques minimales psychiatriques doivent être également communiquées au SPF Santé publique.
•    du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

L’Hôpital se réfère aux finalités suivantes :

a)    Soins de santé

•    Soins des patients : établissement du diagnostic, traitement du Patient et sa prise en charge globale.

•    Administration des patients : suivi du séjour et du traitement du Patient, dans un but administratif, comptable et de facturation.

•    Enregistrement de patients : enregistrement de données médicales et de séjours du Patient, à des fins de gestion, en ce compris la gestion du dossier du Patient, la gestion de la qualité de soins et la gestion de l’allocation des ressources par pathologie.

•    Enregistrement des donneurs : création et l’exploitation de fichiers comprenant les personnes qui souhaitent être donneurs.

•     La recherche de donneurs. 

•    Enregistrement de données médicales à caractère personnel et de données relatives au séjour du Patient qui ont un caractère épidémiologique et/ou scientifique et/ou d’outil de gestion, en vue de répondre aux objectifs de recherche, de gestion ou à ceux imposés par les Autorités publiques.

•    Traitement [au sens du RGPD] de données médicales du Patient à des fins d’enseignement de la médecine ou des sciences infirmières et paramédicales.

•    Traitements [au sens du RGPD] relatifs à la prescription et à la délivrance des médicaments. 

b)    Administration générale

•    Gestion des événements indésirables.

•    Gestion des plaintes de la médiation et du contentieux.

•    Gestion du recouvrement des créances.

•    Traitement [au sens du RGPD] de données à caractère personnel en vue de garantir la sécurité des personnes ou des biens.

§2 Aucune donnée à caractère personnel ne pourra être traitée pour une finalité autre que celles mentionnées ci-avant.  

VI.    IDENTITÉ DU MÉDECIN QUI EXERCE LA RESPONSABILITÉ ET LA SURVEILLANCE DU TRAITEMENT 

Les données médicales à caractère personnel ne peuvent être traitées que sous la surveillance et la responsabilité du Médecin-Directeur de l’Hôpital Erasme.

VII.    IDENTITÉ DU CONSEILLER EN SÉCURITÉ DE L’INFORMATION

Le Conseiller en sécurité de l’information est Monsieur Michel Derville, avenue Joseph Wybran 40, 1070 Bruxelles, Service informatique. 

VIII.    IDENTITÉ DU DÉLÉGUÉ A LA PROTECTION DES DONNÉES

La Déléguée à la protection des données est Madame Virginie Grégoire, avenue Joseph Wybran 40, 1070 Bruxelles, Service juridique. 

IX.    RESPONSABLES INTERNES DU TRAITEMENT

L’organisation et l’exécution des traitements [au sens du RGPD] de données sont assurées par les responsables des services et départements sous l’autorité du Responsable du traitement et du médecin qui exerce la responsabilité et la surveillance du traitement [au sens du RGPD].

X.    DROITS ET OBLIGATIONS DES RESPONSABLES INTERNES DU TRAITEMENT

Leurs droits

•    Procéder au traitement [au sens du RGPD] de toutes les données du Patient qui leur sont confiées.

•    Proposer et/ou développer les logiciels les plus adéquats pour la gestion optimale des données numériques, en concertation avec le Délégué à la protection des données et le Conseiller en sécurité de l’information.

•    Gérer les communications entre dossiers et entre utilisateurs, en ce compris l’attribution de mots de passe, le cryptage et les autres modalités techniques qui leur sont confiées.

Leurs obligations

•    Respecter les conditions d’accès aux données personnalisées, telles qu’indiquées par le Responsable du traitement [au sens du RGPD] ou la personne qui peut agir en son nom.  

•    Déterminer le contenu et l’étendue de l’autorisation d’accès pour chaque personne autorisée, tenir à jour le document reprenant ces informations.

•    Respecter le secret professionnel et la confidentialité des données.

•    Déclarer toute demande d’accès non prévue au Responsable du traitement [au sens du RGPD] ou à la personne qui peut agir en son nom et prendre toutes les mesures préventives afin d’éviter les accès non autorisés.

•    Gérer de manière séparée, selon les responsabilités définies pour chaque traitement [au sens du RGPD], les données d’identification et les autres données du Patient (médicales et administratives) et ne les associer que selon les indications précisées par le Responsable du traitement [au sens du RGPD] ou la personne qui peut agir en son nom.

•    Respecter la confidentialité des mots clés et du cryptage, particulièrement en cas d’accès aux clés de protection attribuées par d’autres responsables internes du traitement dans la même institution.

•    Procéder à la mise à jour régulière des modalités de sécurité des fichiers pour en garantir la confidentialité, l’intégrité et l’accessibilité réservée aux personnes autorisées.

XI.    CATÉGORIES DE PERSONNES AYANT ACCÈS OU ÉTANT AUTORISÉES À OBTENIR LES DONNÉES À CARACTÈRE PERSONNEL DU PATIENT

Les catégories de personnes suivantes sont habilitées à avoir accès ou à obtenir des données à caractère personnel relatives au Patient, dans le cadre de leur mission ou des besoins du service.

a)    Personnes internes à l’Hôpital 

•    les médecins et étudiants en médecine chargés de la mise au point du diagnostic et du traitement du Patient ;

•    les pharmaciens et les assistants en pharmacie ;

•    les infirmiers, aides-soignants, paramédicaux, technologues en imagerie médicale, laborantins, secrétaires médicales, assistants sociaux ainsi que leurs stagiaires : ils partagent le secret médical, ayant des fonctions propres relatives aux soins et à leurs comptes rendus ;

•    les administratifs hospitaliers : ils sont chargés de la gestion des informations concernant du Patient les patients, du fichier d’identification et du suivi du séjour et du traitement du Patient, en vue de la facturation et du contentieux ;

•    les chercheurs affectés officiellement à l’Hôpital, dans le cadre d’un protocole de recherche ayant fait l’objet d’un avis favorable du Comité d’éthique hospitalo-facultaire Erasme-ULB, après consentement ou information préalable du Patient ;

•    le Médecin-Directeur ;

•    le personnel informatique : il est chargé du traitement [au sens du RGPD] informatisé des données du Patient, dans le cadre de l’informatique hospitalière ;

•    le Médiateur des droits du Patient, désigné par la loi du 22 août 2002 relative aux droits du patient.

b)    Personnes externes à l’Hôpital 

•    le Patient concerné dans le respect des dispositions de la loi du 22 août 2002 relative aux droits du patient ;

•    les praticiens de l’art de guérir en lien thérapeutique avec le Patient ou désignés par le Patient pour les données concernées ;

•    les organismes assureurs affiliés à l’INAMI, pour les données concernées ;

•    les dispensateurs de soins externes, dans le cadre de la continuité des soins ;

•    l’INAMI ;

•    le SPF Santé publique ;

•    s’il y a lieu, et dans les cas définis par la loi, les autorités judiciaires ou instances administratives ;

•    les autres instances habilitées par la loi (par exemple pour le don d’organes) ;

•    à la demande du Patient, après information et consentement explicite de ce dernier, toute personne autorisée ;

•    les sous-traitants ayant un lien contractuel avec l’Hôpital et pour lesquels les garanties appropriées sont en place quant à la protection des données à caractère personnel.

XII.    CATEGORIES DE PERSONNES DONT LES DONNÉES FONT L’OBJET D’UN TRAITEMENT

Le Patient (en ce compris le donneur) qui subit une analyse médicale, qui est hospitalisé ou qui consulte en ambulatoire et à qui des prestations médicales, infirmières ou paramédicales sont dispensées.

XIII.    NATURE DES DONNÉES TRAITÉES ET MANIÈRE DONT ELLES SONT OBTENUES

Lors d’un séjour à l’Hôpital, des informations à caractère personnel le concernant sont fournies par le Patient.  

Deux catégories de donnée sont distinguées :

1.    Les données administratives : il s’agit de données personnelles du Patient servant à l’identification, la facturation et éventuellement la communication.

2.    Les données médicales : il s’agit du dossier médical du Patient. 

L’Hôpital utilise également d’autres données personnelles.

-    La profession.

-    Les données biologiques : il s’agit de l’origine raciale ou ethnique, de la taille, du poids, de l’âge ou d’autres données identifiantes similaires

Ces données sont assimilées à des données médicales dans le cadre de ce règlement car elles font partie des informations nécessaires au traitement [au sens médical] du Patient et font donc partie de son dossier médical.

La nature des données traitées et la manière dont elles sont obtenues sont précisées dans le tableau ci-dessous.

Informations nécessaires au traitement [au sens médical] du Patient

Nature des données traitées    Manière dont elles sont obtenues
A.    Données d’identification et de contact
•    Nom, adresse, téléphone, e-mail
•    Identifiant attribué par le Responsable interne du traitement 
•    Numéro de registre national    Par l’administration du Patient à l’admission, aux accueils de consultations ou aux urgences, à partir de pièces officielles d’identité ou de la consultation du registre national
B.    Particularités financières
•    Identification des organismes assureurs et des assurances et appréciation de la solvabilité    Par l’administration du Patient à l’admission, aux accueils de consultations, par les services concernés ou par un système d’information mis à disposition par les autorités compétentes
C.    Caractéristiques personnelles
•    Age, sexe, date de naissance, lieu de naissance, état civil et nationalité     Par l’administration du Patient à l’admission, aux accueils de consultations ou aux urgences à partir de pièces officielles d’identité ou de registre national
D.    Données physiques     Par le(s) médecin(s) responsable(s) des soins du Patient, en collaboration avec les personnes partageant le secret médical 
E.    Habitudes de vie    Par le(s) médecin(s) responsable(s) des soins du Patient, en collaboration avec les personnes partageant le secret médical 
F.    Données psychiques     Par le(s) médecin(s) responsable(s) des soins du Patient, en collaboration avec les personnes partageant le secret médical 
G.    Composition du ménage    Par l’administration du Patient à l’admission, aux accueils de consultations ou aux urgences
H.    Données raciales ou ethniques    Par le(s) médecin(s) responsable(s) des soins du Patient, en collaboration avec les personnes partageant le secret médical 
I.    Convictions philosophiques ou religieuses    Le cas échéant, par l’administration du Patient à l’admission, aux accueils de consultations ou en hospitalisation
Par les diététiciens
J.    Données médicales
•    Jl : Relatives à l’état de santé physique : dossier du Patient, rapport médical, diagnostic, traitement, résultats d’analyse, handicaps ou infirmités, régime, autres exigences de santé particulières concernant traitement, voyage ou logement
•    J2: Données médicales relatives à l’état de santé psychique : dossier du Patient, rapport médical, information de diagnostic, de traitements, résultats d’analyses
•    J3: Données médicales relatives aux situations et comportements à risques
•    J4: Données génétiques dans le cadre des banques de Matériel corporel humain (MCH), d’un dépistage ou d’un examen d’hérédité
•    J5 : Données relatives aux soins : données relatives aux ressources et procédures utilisées pour la prise en charge médicale et paramédicale du Patient     Par le(s) médecin(s) responsable(s) des soins du Patient, en collaboration avec les personnes partageant le secret médical 
K.    Données judiciaires     Le cas échéant, par l’administration du Patient à l’admission ou aux accueils de consultations
L.    Données d’identification d’une personne de référence    Par l’administration du Patient à l’admission,  aux accueils de consultations ou en hospitalisation
M.    Données d’identification du médecin traitant    Par l’administration du Patient à l’admission ou aux accueils de consultations et en hospitalisation

XIV.    CIRCUIT DES DONNÉES À CARACTÈRE PERSONNEL RELATIVES AU PATIENT

Le circuit des traitements [au sens du RGPD] des données est organisé comme suit :

• la collecte des données, selon les modalités décrites au point XIII
• l’introduction des données 
• l’utilisation des données 
• la communication des données, selon les modalités reprises au point XI
• l’archivage, la conservation et la destruction des données.

Les personnes autorisées ayant accès aux fichiers relatifs aux données du Patient s’engagent à respecter les dispositions du RGPD ainsi que le secret professionnel.

XV.    PROCÉDURE SUIVANT LAQUELLE, SI NÉCESSAIRE, LES DONNÉES SONT RENDUES ANONYMES

Les données du Patient peuvent :

•    être communiquées au SPF Santé publique conformément à la loi relative aux hôpitaux et à d’autres établissements de soins.

•    servir à des objectifs de gestion et/ou de recherche interne ou externe, épidémiologique et/ou scientifique, ainsi que pour des objectifs imposés par les Autorités publiques.

Dans ces cas, en vue de protéger l’anonymat du Patient, les données à caractère personnel le concernant sont anonymisées ou codées par l’Hôpital et selon des procédures validées par les instances compétentes.   

XVI.    PROCÉDURES AUTOMATISÉES DE SAUVEGARDE DES DONNÉES 

Toutes les dispositions possibles sont prises pour que les données collectées et traitées soient aussi exactes et complètes que possible. Toutes les dispositions techniques et organisationnelles nécessaires sont également prises pour éviter la perte ou la manipulation des données à caractère personnel contenues dans les fichiers des patients, ainsi que pour prévenir toute consultation, modification ou communication illicite.

Les principales données à caractère personnel sont sauvegardées selon une ou plusieurs des méthodes suivantes :

•    Backup sur disques informatiques stockés dans un bâtiment extérieur aux deux salles informatiques
•    Conservation sur système d’archivage sécurisé (avec impossibilité de modifier ou supprimer les données archivées)
•    Stockage sur SAN (Storage Area Network) ou NAS (Network Attached Storage) répliqué entre deux salles distantes

En outre, toutes les mesures possibles sont prises en vue de sécuriser physiquement les lieux où se trouvent les données sauvegardées (locaux identifiés et protégés, d’accès limité ; dispositifs de prévention et de traitement des dangers physiques tels que les incendies, etc.).

XVII.    DÉLAI DE CONSERVATION DES DONNÉES

§1/ Sans préjudice d’éventuelles dispositions légales ou réglementaires, notamment en matière d’archivage, les délais de conservation suivants sont applicables, à dater de la sortie ou du dernier traitement du Patient :

a)    15 ans pour les données de facturation provenant des fichiers du Patient et qui ont valeur de pièce comptable ;

b)    Minimum 30 ans pour les données médicales à caractère personnel relatives au Patient, lesquelles ne pourront être effacées qu’en accord avec le Médecin-Directeur ;

c)    5 ans pour toutes les autres données à caractère personnel contenues dans les fichiers du Patient.

Les données pourraient être conservées au-delà des échéances indiquées au cas où une contestation subsisterait entre l’Hôpital et le Patient au sujet de l’exécution de leurs obligations respectives.  Dans ce cas, la conservation des données pertinentes pourrait être prolongée dans toute la mesure nécessaire à la gestion de la contestation et jusqu’à clôture de celle-ci.

§2/ Lorsque le délai de conservation susmentionné est écoulé, les données à caractère personnel seront effacées et détruites endéans les 12 mois.

§3/ La destruction n’aura néanmoins pas lieu s’il est raisonnablement établi que la conservation des données à caractère personnel relatives au Patient présente un intérêt certain pour d’autres personnes (exemple : données génétiques), si la conservation est imposée par une disposition légale ou encore si le Patient a donné son consentement explicite.

§4/ Les données concernées pourront être conservées de manière illimitée sous une forme anonymisée, c’est-à-dire de manière telle qu’il s’avère raisonnablement impossible de réidentifier les personnes par association de données.

XVIII.    MISE EN RELATION DE DONNÉES, INTERCONNEXIONS ET CONSULTATIONS

§1. Les droits d’accès aux données des divers départements sont régis par les principes suivants :

•    Tout médecin faisant partie d’un service de l’Hôpital ou étudiant en médecine accrédité peut avoir accès aux données actuelles et historiques du Patient dans le cadre de la relation thérapeutique.

•    Tout membre du personnel soignant ou paramédical peut avoir accès aux données actuelles relatives aux soins du Patient, dans le cadre de ses fonctions.

•    Le Médecin-Directeur peut avoir accès à l’ensemble des données actuelles et historiques du Patient dans le cadre de ses fonctions de gestion et de contrôle.

•    Le personnel administratif n’a accès qu’aux données nécessaires dans le cadre de ses fonctions (facturation, accueil, médiation, etc.).

•    Tout médecin extérieur à l’Hôpital peut avoir accès aux données de soins à la demande ou avec le consentement du Patient.

•    Tout médecin interne ou extérieur à l’Hôpital peut, dans le cadre d’une expérimentation humaine, avoir accès aux données de soins moyennant le consentement explicite du Patient et avis favorable du Comité d’éthique.

•    Tout médecin de l’Hôpital peut avoir accès aux données de coût par pathologie individualisée.

Toute consultation d’un fichier de données médicales pour les soins implique :

•    l’accord du Médecin-Directeur de posséder un numéro de code d’accès ;
•    la connaissance du mot de passe permettant l’accès au menu ;
•    l’identification du demandeur (mot de passe, numéro) ;
•    l’identification du Patient concerné par les soins ;
•    l’authentification du demandeur et du patient concernés, ainsi que la qualité du demandeur, selon sa fonction professionnelle.

XIX.    CAS OÙ LES DONNEES SONT EFFACÉES

Les données contenues dans les fichiers du Patient peuvent être effacées :

1)    au terme du délai prévu de conservation, comme prévu au point XVII ;
2)    dans les cas déterminés par ou en vertu de la loi ;
3)    à la demande fondée du Patient en vertu de son droit de rectification ou d’effacement exercé sur base des articles 16 et 17 du RGPD ;
4)    en exécution d’une décision judiciaire.

XX.    DROITS DU PATIENT

Lors de la collecte des données à caractère personnel, le Patient est informé de ses droits concernant ses données à caractère personnel par le biais d’informations affichées et de la présente notice remise, à sa demande, au desk d’information, ou téléchargeable via le site internet de l’Hôpital.

Le Patient qui apporte la preuve de son identité a le droit d’obtenir les informations suivantes, en s’adressant au Délégué à la protection des données :

1.    d’obtenir, sans frais, une copie des données à caractère personnel le concernant faisant l’objet d’un traitement [au sens du RGPD] par l’Hôpital et, le cas échéant, toute information disponible sur leur finalité, leur origine et leur destination ;

2.    d’obtenir sans frais, la rectification de toute donnée à caractère personnel inexacte le concernant ainsi que d’obtenir que les données incomplètes soient complétées ;

3.    d’obtenir, sous réserve des conditions prévues par la réglementation et sans frais, l’effacement de données à caractère personnel le concernant ;

4.    d’obtenir, sous réserve des conditions prévues par la réglementation et sans frais, la limitation du traitement [au sens du RGPD] de données à caractère personnel le concernant ;

5.    d’obtenir, sans frais, la portabilité des données à caractère personnel le concernant qu’il a fournies à l’Hôpital, c’est-à-dire de recevoir, sans frais, les données dans un format structuré couramment utilisé, à la condition que le traitement [au sens du RGPD] soit fondé sur le consentement ou sur un contrat et qu’il soit effectué à l’aide de procédés automatisés ;

6.    de s’opposer, sous réserve des conditions prévues par la réglementation et sans frais, pour des raisons tenant à sa situation particulière, au traitement [au sens du RGPD] des données à caractère personnel le concernant ;

7.    d’introduire une réclamation auprès de l’Autorité de protection des données (https://www.autoriteprotectiondonnees.be/, contact(at)apd-gba.be).  

Les conditions pour l’exercice des droits mentionnés aux points 3, 4 et 6 sont détaillées en annexe.

Ces droits peuvent être exercés par le Patient en s’adressant par courrier électronique ou lettre signée et datée au Délégué à la protection des données de l’Hôpital, avenue Joseph Wybran 40, 1070 Bruxelles, Service juridique, dpo@erasme.ulb.ac.be.  Conformément à la législation, une réponse sera fournie dans les 30 jours de l’introduction de la demande.  

Annexe : droits soumis à conditions

Droit d’effacement (Article 17 du RGPD)

Le droit à l’effacement de données à caractère personnel la concernant peut être exercé par une personne :

-    si ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ; 
-    si la personne concernée retire le consentement sur lequel est fondé le traitement et qu’il n’existe pas d’autre fondement juridique au traitement ; 
-    si la personne concernée s’oppose au traitement et qu’il n’existe pas de motif légitime impérieux pour le traitement ou si la personne concernée s’oppose à un traitement à des fins de prospection ; 
-    si les données à caractère personnel ont fait l’objet d’un traitement illicite ; 
-    si les données à caractère personnel doivent être effacées pour respecter une obligation légale prévue par le droit de l’Union ou par le droit belge ; 
-    si les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information.

Droit de limitation (Article 18 du RGPD)

Le droit à la limitation du traitement de données à caractère personnel la concernant peut être exercé par une personne :

-    si la personne concernée en conteste l’exactitude, pendant la durée permettant au responsable du traitement de vérifier l’exactitude des données à caractère personnel ; 
-    si le traitement est illicite et que la personne concernée s’oppose à l’effacement des données et exige à la place la limitation de leur utilisation ; 
-    si l’ULB n’a plus besoin des données à caractère personnel aux fins du traitement mais que celles-ci sont encore nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice ; 
-    si la personne concernée s’est opposée au traitement, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée.

Droit d’opposition (Article 21 du RGPD)

Le droit d’opposition peut être exercé par la personne concernée pour des raisons tenant à sa situation particulière, relativement au traitement des données à caractère personnel la concernant fondé sur le consentement ou l’intérêt légitime, à moins que l’ULB ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice.

Télécharger la version PDF de ce règlement en cliquant Icône PDFici.